2.1数据中心招标文件

预算为1609.20万元。

一、 山东省高级人民数据中心项目需求 (一) 项目背景

2016年2月22日，最高人民召开专题会议，最高人民院长周强主持会议，会议研究通过了《人民信息化建设五年发展规划（2016-2020）》，确定了顶层设计、系统建设、保障体系、应用成效等四个方面55项重点建设任务，提出要在2017年底总体建成人民信息化3.0版，2020年底实现人民信息化3.0版在全国的深化完善。

根据《人民信息化建设五年发展规划（2016-2020）》要求，为加快推进山东信息化3.0版建设，需尽快启动数据中心项目，彻底改变上一个项目买一堆设备的传统做法，实现主要业务应用系统在云平台部署，同时通过平台积累汇聚信息，为应用大数据技术深入挖掘利用和开放共享奠定基础。为推进和保障山东省高级人民信息化目标的实现，应按照同步规划、同步设计、同步建设的原则，规划设计信息安全保障体系。 (二) 建设目标

建设敏捷、弹性、融合和高效的数据中心，对计算、存储、网络、安全等资源进行池化，并部署统一的运维管理系统，提高各类信息基础设施资源的利用能力。该数据中心以高性能存储、虚拟计算、虚拟网络及云管理软件为核心，采用开放式、高可靠、高可用、可演进、前瞻性的基础架构，强力支撑山东省高级人民业务的多样化需求，并为未来5-10年的发展奠定基础。

通过信息安全保障体系建设实现对信息系统的体系化安全防护，实现对业务系统的综合安全监管，重点是同步实现对新建数据中心的信息安全建设，并对网络进行整体安全升级和全面信息安全集成。 (三) 系统建设技术需求

根据山东省高级人民数据中心的建设目标，需要建设虚拟主机资源池，数据库服务器集群，存储资源池，网络资源池和大数据分布式处理平台。基础服务层应满足单节点内云服务的互联互通，多节点之间的数据同步，必要时实现多节点之间的任务调度和统一运维管理，同时为各类数据整合、数据挖掘等高端新应用的开展，提供更深层次、

更全面、更快速高效的信息技术平台支持。同时与数据中心建设同步进行相应信息安全系统建设。 1、虚拟主机资源池

通过CPU、内存、IO等虚拟化技术，实现计算资源的合理分配，节省硬件资源，提高资源利用率。主机资源虚拟化可提供虚拟机HA、计算资源调度、内存复用、虚拟机热迁移等功能。 2、数据库服务器集群

山东省高级人民应用的信息类型多、数据规模大，对数据库主机的处理速度、运行的稳定性、可靠性均提出了很高的要求。采用高性能服务器作为数据库应用的载体，通过搭建高可用集群的模式来满足大量的数据计算处理，既保证高性能也充分保证业务的连续性。 3、存储资源池

存储资源池作为山东省高级人民审判执行等各类业务综合管理平台核心数据库存储和法务云平台存储，需要1台高性能、高可靠性的存储。同时作为全省核心业务容灾存储，应支持通过存储的远程复制功能实现对全省19个中院的核心业务数据容灾。

存储资源池支持多种类型物理存储设备，例如IP SAN、FC SAN、Advanced SAN、NAS等，存储虚拟化技术可以将不同存储设备进行格式化，屏蔽存储设备的能力、接口协议等差异性，将各种存储资源转化为统一管理的数据存储资源，可以用来存储虚拟机磁盘、虚拟机配置信息、快照等信息，使得用户对存储的管理更加同质化。 4、网络资源虚拟化

数据中心应提供灵活、高效、智能的网络服务。网络资源可以匹配计算资源一起虚拟化，并可以跟随计算和存储资源进行动态分配和回收。网络平台应动态打通二层网络，网络策略可以跟随虚拟机一起迁移。通过SDN VxLAN实现软件定义的网络，将虚拟机和物理服务器可以同时纳入管理，由控制器统一控制下发网络策略，实现网络资源共享和安全隔离。

另外，数据中心建成投入使用后，将有更多的业务系统运行在广域网中，现有的广域网链路带宽和广域网设备已经不能满足未来应用需求，需要升级改造省与各中院的广域网设备及数据链路。广域网链路带宽需要由现在的100Mbps升级至1000Mbps，因此需要在省现有两台核心路由器H3C SR8808上分别扩容2个万兆光

口以实现与各中院的千兆广域数据链路连接，同时需要在两台核心交换机H3C S9508E上各扩容2个万兆单模光模块用于与核心路由器连接。为保障全省广域网核心路由器运行安全，需购买一年期广域网路由器维保服务。 5、大数据处理平台

大数据处理资源池是法务创新云应用的数据环境保障以及建设各类信息资源库的基础，可适应不断增长的法务大数据环境下的应用要求，为省和各中院提供面向海量结构化、半结构化、非结构化数据的混合架构的大数据存储管理和大数据综合处理分析能力。

6、信息安全系统建设

（1）在专网数据中心部署2台高性能多业务数据中心防火墙设备，通过SDN控制器配合SDN网络设备引导云主机业务流量实现数据中心内部东西向流量安全防护。

（2）在专网数据中心部署虚拟化杀毒软件实现虚拟化平台底层防病毒。 （3）在专网部署800点网络端点杀毒软件。

（4）在专网连接中院的广域网出口部署万兆下一代防火墙对出口区进行安全防护。

（5）在公有云出口边界、外部专网出口边界和移动专网出口边界分别部署1台千兆防火墙。

（6）在专网数据中心与局域网汇聚交换机之间部署万兆IPS系统。 （7）在专网部署网络安全审计系统对业务系统进行审计。

（8）在专网数据库区域部署数据库审计系统，并与招标人现有数据库审计系统实现分布式部署，保障重要数据库安全。

（9）在专网管理区部署2套堡垒机并实现双机，审计运行维护行为，有效规范信息系统维护管理。

（10）在专网部署数据备份与恢复系统，保障核心数据资产安全；部署数据保全系统，保障数据备份的有效性和可用性。

（11）在互联网入口部署上网行为审计系统规范上网行为。

（12）在互联网出口部署数据防泄漏系统，对外发文件进行保密和合规性检查。 （13）在互联网出口部署防病毒网关。

（14）对招标人进行重要信息系统安全保护人员培训。 7、安全服务要求

（1）开展信息安全全面梳理工作。从应用系统、信息资产、基础架构、规章制度、应急保障等五个维度对信息系统进行梳理，从等级保护、重点环节、安全风险三个方面对信息系统进行诊断，针对发现的问题制订加固整改方案，评估加固效果。

（2）信息系统安全评估。在结束项目部署后对山东省高级人民信息系统提供周期性风险评估，评估重点是新上线信息系统。诊断和评估内容应包括安全技术评估、安全管理评估、符合性检查、整体网络安全检查、漏洞扫描、渗透测试等。

（3）协助完成信息安全加固。针对信息系统安全评估中发现问题的脆弱性严重程度及对业务风险的高低进行综合分析，提出的削减风险的技术与管理的安全建议与措施，协助对信息系统进行安全加固，提高安全性和抗攻击能力。

（4）定制化安全数据整合分析与驻场服务。驻场期间对项目的软硬件产品提供运维及数据分析，动态的安全策略优化，能够基于大数据工具出具个性化数据分析报表及巡检报告。

（5）提供周期性数据备份和恢复演练服务。按照国家相关标准协助招标人制定数据中心灾难恢复预案，落实灾难恢复演练，并依据灾难恢复预案和预定程序，检验灾难恢复能力。

（6）提供数据中心安全故障恢复服务。在故障或灾难发生时，将信息系统从故障或瘫痪状态恢复到可正常运行状态，将其支持的业务功能从不正常状态恢复到可接受状态。

（7）开展信息安全培训。对招标人相关的技术人员提供免费现场产品及安全技术培训。 （四）项目预算

建设预算1609.20万元。 （五）项目建设地点

建设地点：省网络中心机房。 二、设备清单及技术要求

1、投标人应提供本次投标所涉及设备及系统的技术指标彩页。

2、投标人应该保证所提供材料的真实性,保证所投产品能够满足所有技术要求，采购人将保留对相关材料进一步核查的权利,若发现投标人中标方案中存在虚假信息,将中止合同执行,并追求其法律责任。 投标设备及系统需满足下列技术要求：

序号 设备名称 技术指标要求 数量 1 2 国有知名品牌，标准8U机架式高性能8路服务器； 处理器：8颗XeonE7-8860 v3处理器；支持E7-4800V3/8800V3全系列； 内存: 配置512 GB ECC Registered DDR4内存，支持≥192个内存插槽，最大支持内存容量≥12TB； 硬盘：2块600GB 10K 热插拔SAS硬盘，最大支持SAS/SATA/SSD热插拔硬盘≥16个； RAID：外插8通道1GB缓存高性能SAS RAID卡，支持RAID0/1/5/6/10/50/60等RAID级别； 网络：集成高性能4个千兆网口，支持IOAT2高级网络加速功能和VMDq虚拟化加速功能，支持网络唤醒，网络冗余，负载均衡等高级网络特性； I/O扩展：配置2块单口8Gb HBA卡和1块双口万兆网卡（含2个SFP+模块），支持≥23个PCI扩展槽； 电源：可实现N+M/N+N冗余方式，单电源功率≤800W，电源核心数据数量≥5，支持热插拔,电源利用率不低于80plus白金2 库服务器 (Platinum)标准； 外设：DVDRW光驱，U盘虚拟软驱，机架安装导轨及必须的电源线和连接电缆； 接口：6个USB接口：前2后4，1个管理接口，2个PS2接口，1个COM，1个VGA； 管理：支持IPMI 2.0标准，集成KVM over IP及虚拟媒体功能，提供管理专用百兆以太网接口；提供简体中文版服务器管理软件；支持Windows/Linux系统跨平台管理；可实现跨网段的集中管理，通过SSL加密保证数据安全，可以远程监控运行状态，进行资产管理，提供信息框、电子邮件、短信等多重告警功能； 操作系统：支持同品牌Uinx操作系统，支持原厂系统加固软件，安全等级不低于信息安全等级保护第三级； 配置同品牌双机软件； 服务：三年免费整机硬件保修；设备厂商工程师免费上门服务，质保期内免费提供硬盘损坏更换不回收服务。 国有知名品牌，标准4U机架式高性能服务器； 处理器：4颗XeonE7-4850v3(不低于2.2GHz/14c) 内存：配置256GB DDR4内存，支持内存SDDC DDDC镜像热备高级功能，≥32个板载内存插槽； 虚拟化服★硬盘：3块600GB 10K 热插拔SAS硬盘，最大支持2.5寸15 务器 SSD/SAS/SATA热插拔硬盘≥24个； RAID:标配8通道2GB缓存高性能RAID卡，支持RAID0/1/5/6/10/50/60等RAID级别； 网络：集成高性能4千兆网口，支持IOAT2高级网络加速功能和VMDq虚拟化加速功能，支持网络唤醒、网络冗余、负载3 4 均衡等高级网络特性； 远程管理：主板集成BMC管理芯片，提供远程管理、远程诊断功能以及KVM OVER IP功能，支持IPMI2.0； I/O扩展：2块单端口8Gb FC HBA卡和1块双口万兆网卡（含2个SFP+模块）；支持≥12个PCI-E3.0扩展槽；支持全长全高板卡； 电源及外设：配置2+1冗余电源，断电故障查询, 机架安装导轨，配置DVD光驱； 管理软件：多国语言版专业服务器管理软件，支持Windows/Linux系统跨平台管理；跨网段的集中管理，可生成资产报表、管理员日志、进程日志等，支持远程顺序启动服务器，可以远程监控运行状态、多重告警等功能。 数据安全保护软件：服务器原厂配置中文正版数据安全保护软件，保护服务器数据安全，提供软件安装介质和软件著作权证书复印件； 服务：质保三年，质保期内原厂工程师提供7x24小时带配件免费上门服务，质保期内免费提供硬盘损坏更换不回收服务。 2U机架式服务器，2颗E5-2650v3(不低于2.3GHz/10c)；内存：256GB DDR4 内存，支持≥24个内存插槽，最大可扩展≥1536GB内存, 支持高级内存纠错、内存镜像、内存热备等高级功能； 硬盘：4块600GB 10K 热插拔SAS硬盘，支持≥12个3.5寸SATA/SAS接口硬盘或固态磁盘，可支持≥28个2.5寸SATA/SAS接口硬盘或固态磁盘； RAID卡：8通道1G缓存 SAS RAID控制器，支持RAID 0/1/5/6/50/60； I/O扩展：配置1个双口万兆网卡（含2个SFP+模块）和2块单口8Gb HBA卡，支持≥6个PCIE3.0插槽，其中≥4个全管理服务长全高卡，≥5个USB3.0接口，前后均配置VGA接口； 4 器 网卡：2个高性能千兆以太网口，1个千兆管理网口专用于IPMI，支持虚拟化加速、网络加速、负载均衡、冗余等高级功能； 电源及外设：白金级高效冗余热插拔电源，Slim DVDRW光驱，导轨； 管理功能：集成系统管理芯片，支持IPMI2.0、KVM over IP、虚拟媒体等管理功能，支持外置式可视化管理模块，提供本地可视化系统监控和故障诊断功能； 认证：提供CCC、CE、FCC认证证书、环保认证； 服务：三年原厂质保，原厂工程师三年免费上门服务，质保期内免费提供硬盘损坏更换不回收服务。 配置虚拟化管理系统企业版软件， 40颗物理CPU管理授权；虚拟化软配套vSwitch功能授权和与SDN管理系统相关对接开发；提1 件 供省业务应用系统虚拟化部署服务，根据省需求创建虚拟化模板。 功能开发需求： 1. 基于主流的KVM自主开发，能够随着Linux版本的升级而升级，具有自主知识产权，保证底层平台和基础功能的可靠性和安全性，提供软件著作权证书 2. 支持现有市场上主要服务器厂商的主流X86服务器，兼容现有市场上主流的存储阵列产品,兼容OpenStack Havana、Juno、Kilo等主流版本，并能提供标准插件实现与OpenStack平滑对接 3. 支持智能电源管理功能， 提供热添加CPU、内存、磁盘、网卡的功能，支持批量修改虚拟机的配置参数， 4. 支持对资源扩展和收缩策略的灵活配置，能够根据虚拟机CPU、内存、连接数、存储容量、磁盘IO等参数无需人工干预的动态克隆虚拟机或删除虚拟机，同时支持对业务虚拟机组的统一负载监控和负载状态展示，提供完整界面截图。 5. 支持当虚拟机的CPU、内存利用率超过设置的阈值时，系统将自动为该虚拟机增加相应的CPU和内存资源，无需人工干预 6. 提供应用级别的HA功能，无需在虚拟机内部安装代理即可自动检测并可自动修复虚拟机内运行的应用故障，并支持用户自定义脚本进行应用状态的监控支持虚拟机迁移历史记录功能，记录中包含迁移的操作员、迁移方式、源主机、目的主机、开始时间、迁移耗时等信息，便于对虚拟机的迁移路径进行回溯 7. 虚拟机支持跨虚拟化管理平台在线迁移，迁移过程中对业务运行无影响 8. 支持以图形化的方式直观展示集群、主机、虚拟机、网络和存储之间的关系，包括以计算资源为中心的虚拟计算拓扑、以虚拟交换机为中心的虚拟网络拓扑和以存储LUN为中心的虚拟存储拓扑 9. ★vSwitch基于SDN架构，支持由SDN控制系统统一管理，支持Openflow1.3协议，支持被SDN控制系统通过标准的OVS-DB协议管理，支持作为VXLAN VTEP，实现VXLAN封装与解封装功能，支持VTEP IP的连通性探测；支持虚机入方向和出方向CIR、CBS；vSwitch支持KVM、XEN、Vmware虚拟化平台；在SDN控制系统出现异常、重启、升级、主备倒换或与OVS之间通信出现异常时，OVS上面的流表继续生效，而且不影响转发的连续性 10. ★开发健康巡检功能，从系统、集群、主机、存储、网络、告警分析等维度对系统运行情况进行巡检，针对巡检问题平台可自动给出优化建议，巡检报告支持以PDF文件方式导出 11. 支持一键切换展示大屏功能，直观展示虚拟化资源池的健康度、告警、资源使用情况等，同时展示内容支持用5 户自定义，可定制的指标包括但不限于主机性能、虚拟机性能、共享存储性能、系统总体健康度、主机健康度、CPU分配比、内存分配比、存储分配比、系统告警、Top 5主机CPU和内存利用率、Top 5虚拟机CPU和内存利用率、主机和虚拟机状态统计等 配置云管理平台/云操作系统，100个资源管理授权，实现对本项目中虚拟化管理软件和SDN控制系统对接开发，实现对计算、网络、安全资源的自动化交付。 功能开发需求： 1. 基于业界主流OpenStack Mitaka及以上版本自主开发，兼容主流虚拟化平台，如VMware、KVM、Citrix XenServer、Hyper-V、PowerVM等 2. 云管理平台通过自服务门户能够为用户提供云主机、云硬盘、云防火墙、云负载均衡、云数据库、公网IP、快照等服务，支持多租户划分，为不同的租户分配资源配额，配额包括CPU、内存、云主机、路由器、VPN、网卡、防火墙、负载均衡、安全组、公网IP个数等 3. 支持对OpenStack计算节点的CPU、内存、存储容量和虚拟化平台相关存储卷的存储容量进行统计展示及阈值告警设置，当监控到实际资源使用达到设定阈值时发出告警通知；提供虚拟机服务，用户通过自助服务门户申请所需操作系统、CPU核数、内存、硬盘以及相应网络IP 4. 支持云资源计费度量，云管理员可以对云资源进行计费数据中心策略设定，计费策略可以基于CPU、内存、硬盘、存储、1 管理软件 防火墙、负载均衡、数据库、网络带宽、IPS、防病毒、云桌面、裸金属等资源制定费率，支持查看云资源配额使用统计信息，支持通过首页查看计费、资源、应用相关的统计图表 5. 支持VMware虚拟机的批量纳管，纳管过程中虚拟机无需重启、用户业务不中断。对于已经纳管的虚拟机，也可以将虚拟机去纳管 6. 提供裸金属服务，用户可以通过自助服务门户申请物理服务器，并进行操作系统部署 7. ★支持并配置与本次采购“SDN控制系统”对应的管理授权并做相应的接口开发，能通过SDN控制系统实现对数据中心核心交换机、万兆接入交换机、千兆接入交换机、虚拟化管理软件中的vSwitch以及相关安全设备的自动化配置策略下发，实现数据中心云主机、云网络、云安全等整体基础资源交付，实现虚拟云主机间安全隔离防护功能，满足数据中心内部虚拟云主机间安全隔离防护、数据保护要求 8. 云管理平台能够提供云防火墙、云负载均衡服务，用户通过自助服务门户申请不同规格的防火墙、负载均衡、6 7 堡垒机、WAF，云防火墙、云负载均衡、云堡垒机、云WAF支持由硬件设备和软件两种方式提供 9. 云管理平台能够提供云数据库服务，用户能够自助申请所需要数据库，数据库类型包括Oracle、MySQL、SQL Server，审批通过后数据库自动化部署，多套数据库可部署在同一台物理服务器上且能够保证数据库CPU、内存、网络IO、磁盘IO独享，支持数据库的管理、备份和恢复 10. 云管理平台注册托管已安装部署的大数据服务集群，可供用户申请使用，并可以进行大数据集群的管理与监控，提供基于物理服务器的大数据分析服务集群（Hadoop、Spark、MPP）的自动化部署创建、管理和服务监控 11. 支持多级云管理，上级云平台可以方便快捷的实现对多个下级云管理平台的统一监控和管理，即省和各市中院云平台管理员可以管理本地数据中心资源，同时省云平台能够实现省中心和地市中心之间资源的统一呈现、分级管理 12. 支持用户使用图形化界面通过拖拽的方式编排自己的虚拟数据中心，用户可以通过拖拽的方式指定云主机、云网络、云路由器、云防火墙、云负载均衡等云资源的逻辑连接关系，当部署成功后，生成的云主机、云网络、云路由器、云防火墙、云负载均衡等云设备之间的连接关系应与编排时保持一致 13. 支持应用模板功能，用户可以使用图形化界面通过拖拽的方式将虚拟网络、负载均衡、虚拟机、软件库中的软件等元素编排成应用模板并发布到云管理平台上 14. 支持业务流程定制功能，可以根据自身业务审批机制定义业务流程，管理员审核完用户申请后，以邮件或短信等方式及时通知用户 业务迁移服务，根据省现有业务部署情况及具体迁移需求，将省全部需要迁移的业务应用系统通过P2V或V2V云计算服方式迁移到新建云平台运行，应保证应用系统平滑迁移，保1 务 证业务数据安全、可靠、数据不丢失，保证系统安全。（需迁移业务应用系统按照物理机40台和虚拟机10台核算） 采用19″42U工业标准服务器专用机柜，最高静载1000kg以上；机柜两侧预留布线槽，强弱电分离布线，机柜上下方均可走线；前后门采用钢制网孔设计，保证前后通风，顶部有通风孔结构；1个承重托盘，自带2个线缆槽，配置220V大数据一专业工业PDU,32A供电，21口，配置32A标准工业连接器，1 体机 数字KVM管理设备 1套。 网络模块（配置数量≥3个）：2台1U 机架式交换机，固化24个10G SFP+端口，配置主机电源1+1冗余，配置4个风扇，实现3+1冗余；1台1U 机架式交换机，24口10/100/1000M自适应电口交换机，4口SFP非复用端口。 8 管理节点（配置数量3个），每个节点配置如下：配置2颗Intel Xeon E5-2600 V3,主频≥2.6GHz，内核≥8；配置8*16GB DDR4内存；配置8块600G 10K SAS 热插拔硬盘；8通道2GB缓存高性能SAS RAID卡，掉电保护电容；配置2个千兆电口和2个万兆光口; I/O扩展：最大5个PCI-E插槽；配置centos 6.7操作系统或同档次或更优操作系统。 数据节点（配置数量15个），每个节点配置如下：配置2颗Intel Xeon E5-2600 V3,主频≥2.6GHz，内核≥8；配置8*16GB DDR4内存；配置2块600G 10K SAS 热插拔硬盘和12块4TB 7.2K SATA 热插拔硬盘；8通道2GB缓存高性能SAS RAID卡，掉电保护电容；配置2个千兆电口和2个万兆光口；I/O扩展：最大5个PCI-E插槽；配置centos 6.7操作系统或同档次或更优操作系统。 软件功能： 1、全面兼容Apache Hadoop发行的版本，支持Hbase、Pig、Hive、Java MR、Oozie等各种知名的Hadoop框架开源方案。 2、支持各种数据类型的存储能力，包括日志等各种半结构化和非结构化数据的存储、管理、查询、分析的能力。 3、支持各种数据加载方式，包括批量加载，实时加载，数据库加载、文件加载等加载方式。 4、支持通过SQL的方式来访问Hadoop生态系统中Hive、HBase的数据。 5、支持基于应用的服务SLA管理功能，在多个应用同时并发运行时，通过资源的自动调度保证每个应用的优先级，保障关键应用优先的资源使用。 6、支持高级工作负载管理，通过并发数、CPU份额的方式进行资源的高效隔离与使用，确保关键任务的资源倾斜配置。 7、实时查询能力应满足1000笔/秒的并发（时延≤1秒）；近实时查询能力应满足响应时间在秒级别。 8、满足业务数据量增大时的系统扩展要求，增加或减少物理资源时，原有应用可以不受影响，平滑扩容，无需应用的修改。 9、支持PB级别的横向扩容。 10、支持根据客户需求进行定制化配置。 售后服务： 提供原厂认证工程师技术服务，内容如下： 1、提供1位原厂认证工程师≥5个工作日现场系统实施服务； 2、所有硬件3年质保，质保期内免费提供硬盘损坏更换不回收服务； 3、提供系统软件功能1年免费升级。 具备内核级文件/目录、进程、注册表、账户强制访问控制。主机安全通过对用户和文件/目录进行标记，设置相应的级别，来控制1 增强系统 用户对文件/目录的访问权限，依此来保证重要数据流的单向性，只能从低级别流向高级别，不能反过来，保证数据的安9 10 全性。防止非法修改系统现有系统服务运行模式。防止非法加载内核驱动程序。防止通过添加、修改盘符非法挂载设备。防止非法加载内核模块。防止非法添加开机自启动程序。防止通过执行系统命令非法关闭及重启系统。通过对操作系统的配置进行扫描，检查安全配置项是否合规，并获取安全配置基线实际值，支持手动和定时安全配置扫描。通过对操作系统的配置进行修复，可根据安全配置项的重要性进行修复，支持手动和定时安全配置修复。安全配置知识库是以模板形式提供的基线项目的集合，用户可通过操作系统和严重性分类查看安全配置项信息。支持安全配置知识库的导入功能，方便后期对安全配置知识库进行升级扩展。具备文件、服务完整性检测功能。展示全网资源当前在线和离线资源数量和比例，可方便的查看全网资源部署的情况。展示全网资源的安全的总体情况，分为优（优秀）、良（良好）、中（中等）、差（较差）、危（危险）五个等级。可根据高、中、低风险的不同类型告警综合计算出安全指数，可方便的查看当前存在的安全威胁。滚动展示最新的威胁，可方便的查看最新发现和最新高风险告警。展示近一周主动防御违规事件趋势、近一周安全配置不合规趋势、近一周完整性检测趋势、近一周高风险资源TOP5。展示全网资源操作系统分布情况。记录联动平台对象和类型，便于对第三方系统平台联动进行审计。具备微软Certified for Windows Server2008 R2认证，产品驱动部分须通过并提供微软WHQL认证。产品须具备国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书(windows),三年免收费服务，包括现场实施、培训和软件授权、升级服务。提供30个授权管理节点。 ★1、为保证系统兼容性，要求与核心存储为同一品牌； 光纤交换2、24端口8Gb/s光纤交换机，激活24端口，满配24个8Gb2 机 多模光模块，配置24对10米LC-LC多模光纤跳线； 3、提供设备安装及原厂三年质保服务。 ★1、采用多控全交换架构设计，最大可扩展至16控制器；控制器之间采用高带宽、低时延的PCI-E互联，不得采用FC、IP协议或者FC、IP互联； 2、同时支持IP SAN和FC SAN，磁盘、电源、IO模块都可以在控制器不下电、不复位、在线情况下热插拔； 3、本次配置控制器≥4个，配置缓存容量≥1TB（纯SAN缓存，不含任何性能加速模块或NAS缓存、FlashCache、PAM核心存储 1 卡，SSD Cache等），最大可扩展至16T缓存； 4、主机接口类型支持8Gbps FC或16Gbps FC、1Gbps iSCSI、10Gbps iSCSI、10Gbps FCoE； 5、配置前端主机接口≥8个8Gb FC+8个1Gb iSCSI+4个10Gb FCoE接口；最大可扩展384个主机接口； 6、配置≥24个48Gb SAS3.0宽端口后端硬盘通道，带宽为1152 Gbps； 11 7、支持扩展≥6000块硬盘；本次配置≥167块1.2TB 10K RPM SAS硬盘，≥16块900GB SSD固态硬盘, ≥53块6TB 7.2K RPM NLSAS硬盘； 8、配置LUN在线迁移功能，可在不中断业务的前提下，实现数据的热迁移，该功能无容量； 9、冗余性：冗余电源、风扇、控制器，配备缓存断电保护功能； 10软件功能： 1）效率提升软件 配置自动精简配置； 配置QoS（基于卷或端口）服务质量保证功能，可按照流量控制保障核心业务的服务质量，可按照业务优先级保障核心业务资源优先； 配置智能缓存分区功能，通过给不同级别的用户配置不同大小的缓存分区，系统将保证该分区所占用的缓存容量，从而保证位于该分区中的业务应用的服务性能； 配置SSD智能数据缓存功能； 配置数据销毁功能，通过全0或随机数据覆盖写来销毁数据； 配置多租户功能，在同一资源池里拥有不同权限的访问权； 配置异构虚拟化功能，实现对原有异构存储数据到新存储数据的迁移，同时整合原有存储设备共建一个统一的存储资源池，达到对原有存储设备利旧的目的；以上软件功能均无容量； 配置智能数据分级功能，可根据分析结果自动将存储数据迁移到不同性能的硬盘中，从而提高存储性能，配置至少50TB的软件容量许可； 2）数据保护软件 配置本地数据保护软件功能：快照、克隆、LUN拷贝、卷镜像； 配置远程数据保护软件功能：同/异步远程复制； 支持阵列双活软件功能，与现网存储做成阵列双活，以承载核心数据库业务。 以上软件功能均无容量； 11、提供产品的《中国环境标志产品认证证书》，并加盖公章； 12、2015年整体外部磁盘存储市场国内排名前三，并出具IDC官方证明材料； 13、存储方案支持数据加密（国密）功能, 通过国家密码管理局认证，提供商用密码产品型号证书； 14、所投存储设备非OEM产品，拥有自主知识产权，须提供存储软件著作权登记证书； 15、提供设备安装服务及原厂三年质保服务，质保期内原厂免费上门服务，质保期内免费提供硬盘损坏更换不回收服务，设备生产商需在国内设有400技术服务热线。 存储管理 1、为保证兼容性，要求与核心存储为同一品牌；本次配置1 软件 12 13 14 360TB的容量管理许可及原厂三年的软件技术支持服务； 2、架构开放性：提供带外存储资源服务平台，采用开放架构，能够与多种云平台集成； 3、平台配置数据备份：支持管理数据库每天定时数据备份到本地磁盘或者FTP；支持管理数据库手动备份到本地磁盘或者FTP； 4、设备管理能力：可以管理传统的SAN、NAS存储，也能管理分布式SAN、分布式NAS等存储设备；存储资源服务平台管理的存储阵列数量≥100套； 5、自助式访问：提供一键式、图形化的服务目录，业务用户（租户）可以通过门户界面自助申请服务，并查看资源使用情况； 6、效率优化服务：无需额外硬件设备，能够对底层物理存储阵列特性（如：自动分级存储、自动精简配置、QoS等）进行调度，并将这些特性作为服务提供给业务应用； 直接由存储厂商提供的针对省原有存储系统的数据迁移存储服务 服务，提供数据迁移前的信息采集、迁移评估、迁移规划等1 服务，保证原有存储系统数据迁移至新建的存储设备中。 数据中心核心交换机，设备配置要求：配置2块主控引擎，满配交换网板，交流电源模块≥4个，配置千兆电口≥48个，千兆万兆自适应光口≥48个（均分在2个业务槽位），万兆多模光模块≥48个；配置2台设备虚拟成单台设备所需的全部软硬件，配置IPv6、MPLS、VxLAN功能授权。实现SDN控制系统+ 服务器虚拟化软件中vSwitch的业务应用协同部署功能对接。 功能要求： 1. ★采用CLOS正交交换架构，交换网板与主控板槽位物理分离，整机无中板技术，严格前后风道，风扇框居中实现对应单板芯片位置加强散热；交换容量≥172Tbps，转核心交换发性能≥36Gpps，交换网板槽位≥6,业务板槽位数≥82 机 个 2. 支持交换机设备虚拟化扩容，可支持N:1:M虚拟化技术 3. 配置数据中心特性，支持Trill、FCoE、VxLAN 二、三层网关 4. 支持IPv4和IPv6双协议栈,支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+，支持VRRPv3、VRRPv3负载分担模式,支持IPv4向IPv6的过渡技术 5. 成熟商用2年以上，提供工信部入网证明；支持SNMPV1/V2/V3，RMON 1/2/3/9；Syslog，SSHv2，支持WEB网管，支持MIB-II，中文图形化管理；支持并配置与本次采购 “SDN控制系统”对应的管理授权并做相应的接口开发 万兆接入设备配置要求：冗余交流电源、冗余热插拔模块化风扇（前4 交换机 后风道）；配置千兆万兆自适应光接口≥24个，40GB光接口 15 ≥4个；万兆多模光模块≥20个；1条5米40G分4*10G上联核心交换机的线缆，配置IPv6、VxLAN等功能授权，实现SDN控制系统+ 服务器虚拟化软件中vSwitch的业务应用协同部署功能对接。 功能要求： 1. ★交换容量≥2.56Tbps，转发性能≥1Gpps；业务扩展槽位数≥2，要求所有电源、风扇、万兆光接口都支持热插拔，支持VxLAN二、三层网关，支持EVPN, 支持OPENFLOW 1.3标准 2. 支持并配置两台设备虚拟化堆叠，要求支持跨设备链路聚合，单一IP管理，统一的路由表项；支持通过标准以太端口进行堆叠，支持远距离堆叠，配置单向80GE虚拟化堆叠链路 3. 支持静态路由、RIP v1/2、OSPF、BGP等动态路由协议，支持RIPng、OSPFV3、IS-ISV6、BGP+FOR IPV6、IPV6策略路由，支持VRRP，支持等价路由 4. 支持本地端口镜像和远程端口镜像RSPAN,同时支持4组多对一的端口镜像；支持MCE, MPLS L3VPN、MPLS L2VPN、 VPLS 5. ★支持STP/RSTP/MSTP协议，支持PVST+/RPVST+；支持下一代防火墙功能模块扩展，吞吐量≥40G；配置接口支持IEEE802.1ae Macsec介质访问控制安全技术 6. 支持SNMP V1/V2/V3，SSHv2，支持WEB网管，支持ISSU，支持USB接口及MINI USB接口，支持带外管理接口，支持并配置与本次采购 “SDN控制系统”对应的管理授权并做相应的接口开发；支持电源的告警功能,支持风扇、温度告警，支持sFlow流量管理 设备配置要求：冗余交流电源、冗余热插拔模块化风扇（前后风道）；配置千兆以太网电口≥16个，千兆光电复用口≥8个，千兆万兆自适应SFP+光口≥4；配置两台交换机虚拟为单台所需要的软硬件，配置IPv6、VxLAN等功能授权，实现SDN控制系统+ 服务器虚拟化软件中vSwitch的业务应用协同部署功能对接。 技术参数要求： 千兆接入1. 配置上述端口后剩余扩展槽位≥1个，带外管理口≥1交换机 个，支持VxLAN二、三层网关，支持OPENFLOW 1.3标准,4 支持普通模式和Openflow 模式切换,支持多控制器,支持多表流水线,支持Group table,支持Meter等 2. 支持静态路由、支持RIPv1/v2,RIPng、支持OSPFv1/v2，OSPFV3、支持BGP4，BGP4+ for IPv6，支持VRRP/VRRPv3；支持等价路由，策略路由 3. 支持IPv6 in IPv6 tunnel，支持IPv4 in IPv6 tunnel，支持GRE tunnel 4. ★支持IEEE 802.1ae Macsec介质访问控制安全技术，16 支持数据中心级下一代防火墙安全模块扩展，吞吐量≥10G 5. 支持电缆检测功能，支持单向光纤链路检测协议，支持带外管理口，支持命令行接口（CLI），Telnet，Console口进行配置，支持并配置与本次采购“SDN控制系统”对应的管理授权并做相应的接口开发 即SDN控制系统，利用SDN技术，实现SDN控制系统相关功能开发，实现在数据中心的集群部署，实现新建数据中心SDN转发设备（数据中心交换机、vSwitch等）的管理，通过北向接口接收应用层和管理平台的配置要求，集中计算生成转发流表，通过南向接口下发到SDN转发设备。控制系统还应支持网络拓扑、网络连通状态、网络流量统计、主机信息统计等功能。 SDN控制系统功能开发要求： 1.★实现本次数据中心建设中涉及的2台核心交换机、4台万兆接入交换机、4台千兆接入交换机、、虚拟化管理软件中所有vSwitch的状态监控、配置下发、网络拓扑展示等，单台控制器系统支持的最大流表条目数≥1M，单台控制器支持的交换机规模≥1000，控制器支持集群，交换机规模≥4000，支持OpenStack K版本管理平台的plugin，包括但不限于L2、安全组、vRouter、浮动IP、虚拟防火墙、负载均衡器等组件的自动化交付能力，提供软件著作权证明 2.支持MAC地址和ARP信息学习功能、支持多租户隔离、支持IP地址在不同租户重叠，支持ARP代答、ARP老化功能 云网络控3.支持SDN叠加网络拓扑管理，支持网络连通状态展示，支1 制管理 持基于硬件SDN交换机端口、SDN网关端口、流表、VxLAN隧道等虚拟流量统计，支持Overlay链路诊断，支持日志、告警的分级汇总和统计情况监控，支持SDN转发网元数量、CPU、内存、磁盘使用情况监控 4. ★扩展支持VXLAN业务管理功能，可以自动识别并导入核心VxLAN网关、VTEP设备(本项目涉及的核心交换机、万兆交换机、千兆交换机)，自动识别网络中的VXLAN和隧道，提供按Spine、Leaf进行设备分组，每个分组对应一份配置，实现配置完全自动下发、自动化部署 ，支持通过图形界面方式规划网络拓扑，并展示设备自动上线过程；实现对VXLAN设备的加入监控、移除监控、查看分层拓扑、查看业务拓扑、查看全网拓扑、查看详细信息和查看流量信息等功能；实现对数据中心的Underlay/Overlay网络拓扑统一展示，清晰展示Overlay网络和Underlay网络的关系 5.支持关闭不必要的端口或服务，支持异常流量识别、以及处理，支持北向平台认证以及设置访问控制功能、南向转发设备接入认证功能，支持同一控制器集群内设备相互认证功能 6.支持Openstack Neutron接口，支持openflow、netconf、17 负载均衡 18 广域网设备接口扩容 广域网路由器维保服务 19 ovsdb、snmp等南向协议；支持集群主备或负载分担，集群控制器间支持MAC、ARP、Routing表项同步，支持不中断升级，在线扩容 7.支持SNMP v1/v2/v3、支持系统日志功能、支持操作日志功能，支持本地管理和用户口令认证、Telnet、SSH 1U标准机架式设备，配置冗余交流电源，千兆电口≥16个，千兆光口≥8个，配置500G硬盘，配置链路、服务器负载均衡功能授权 功能要求： 1. ★采用非X86的专用多核硬件架构,整机吞吐量≥3G，并发连接数≥1200万,扩展槽×2，每个可扩4×GE Bypass 2. 支持端口聚合、交换网口、STP、vlan、RIP、OSPF、静态路由、MSTP、RSTP、QinQ、BGP-4、IS-IS、IGMP、PIM等功能 3. 支持包括轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址Hash、源地址端口Hash、目的地址Hash、UDP报文净荷Hash、优先级等负载均衡调度算法；支持并实配温暖上线Slowonline、慢宕Slow shutdown功能，保证服务器上下线流量缓慢变化，支持并实配TCP连接复用、HTTP 压缩、SSL卸载等功能 4. 支持基于ISP地址表的多链路出口智能选路，支持动态1 探测链路状态，智能选择最优路径，支持智能DNS解析，以实现来自不同运营商或不同地理位置的用户的就近访问，支持根据链路带宽、连接数等条件智能调节多链路分发策略，实现链路繁忙保护 5. 至少支持如下安全防护技术：ICMP-Flood防护、UDP-Flood防护、SYN-Flood防护、ARP/ND防护、Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描、CC、DNS Query Flood、分片Flood等攻击防范 6. 支持VxLAN技术、Netconf API接口，实现云数据中心SDN VxLAN网络和第三方管理软件集成部署，支持与云计算平台实现业务系统动态资源扩展方案 7. 支持主备、双活、集群部署，支持N:1：M设备虚拟化技术，支持两台设备统一管理，设备间配置自动同步、会话实时同步 现有H3C SR8808路由器的1块单路业务处理板(XFP,LC)、1端口万兆以太网光接口卡、1个万兆单模光模块(1310nm,10k4 m,LC)。现有H3C S9508E 交换机的1个万兆单模模块SFP-XG-LX-SM1310（SFP+万兆模块(1310nm,10km,LC)）。 包括2台H3C SR8808万兆核心路由器、1台H3C SR6616路由器、12台H3C SR6608路由器、1台H3C SR6604路由器的1 一年期原厂维保服务，上述设备需原厂7*24小时响应，原厂20 5*10*NBD（NBD：下一个工作日）备件支持，4小时工程师到达现场。维保期内每季度巡检一次，提供详细的巡检计划和方案。 1、2台H3C SR8808万兆核心路由器主要配置：2台H3C SR8808 万兆核心路由器主机、4块单路业务处理板、2块10端口千兆以太网光接口卡-(SFP,LC)、2块H3C SR8800-路由交换处理板(1E)、2块1端口OC-3/STM-1通道化至E1/T1 CPOS光口(SFP,LC)+8端口千兆以太网光接口卡(SFP,LC)、4个3500W交流电源框、4个交流电源模块-1800W。 2、1台H3C SR6616路由器主要配置：1台H3C SR6616 路由器主机、1个主控单元RSE-X1(2G DDR/1AUX/1CON/1GE/1CF/2USB)、2个8端口千兆以太网光口接口模块(SFP)、1个4端口千兆以太网电口接口模块、2个灵活接口平台210,2 HIM 插槽,2 10/100/1000M WAN 端口 (RJ45 and SFP Combo)、2个灵活接口平台110,4 MIM 插槽,2 10/100/1000M WAN 端口 (RJ45 and SFP Combo) ，4个H3C PSR650A 交流电源模块。 3、12台H3C SR6608路由器主要配置：12个H3C SR6608 路由器机框、7个主控单元RSE-X1(2G DDR/1AUX/1CON/1GE/1CF/2USB)、5个主控单元RPE-X1(1G DDR/1AUX/1CON/1GE/1CF/2USB)、5块8端口千兆以太网电口接口模块、20个2端口10/100/1000M Base-T电口(RJ45)模块、1块灵活接口平台210,2 HIM 插槽,2 10/100/1000M WAN 端口 (RJ45 and SFP Combo)、12块灵活接口平台110,4 MIM 插槽,2 10/100/1000M WAN 端口 (RJ45 and SFP Combo)、24个H3C PSR650A 650交流电源模块。 4、1台H3C SR6604路由器主要配置：1个H3C SR6604 路由器机框，1个主控单元RSE-X1(2G DDR/1AUX/1CON/1GE/1CF/2USB)，1个灵活接口平台210,2 HIM 插槽,2 10/100/1000M WAN 端口 (RJ45 and SFP Combo)，1个灵活接口平台110,4 MIM 插槽,2 10/100/1000M WAN 端口 (RJ45 and SFP Combo)，2个H3C PSR650A 650W交流电源模块。 与数据中心SDN控制系统实现自动交付对接开发，实现云管理软件对虚拟机安全防护系统的自动分配与安全业务配置，实现数据中心核心业务系统虚拟机的安全隔离防护 虚拟机安全防护系统对接开发要求： 1. 支持VXLAN，实现与虚拟化管理软件中所有vSwitch、现云数据中有数据中心交换机配合，实现数据中心SDN VxLAN网络2 心防火墙 部署，业务虚拟机安全服务编排 2. 支持CLI、Netconf、SNMP MIB、TCL脚本等对外接口，实现SDN控制系统配置信息的对接及相关功能配置 ★虚拟机安全防护系统平台要求： 1. 采用控制、数据、业务相分离的全分布式架构，主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离，所有主控引擎、交换引擎必须支持热插拔 2. 配置冗余主控引擎，满配交换引擎，所有交换引擎必须为形态（非主控集成），占用专用的硬件槽位，交换引擎N+1冗余，N≥3；配置冗余交流电源模块，非外置电源框扩展，电源M+N冗余，整机电源数量≥4；支持100G、40G、10G、GE端口，配置10G光口≥32个，配置10G多模光模块≥4个，支持1个物理接口可以同时属于不同的虚拟防火墙；配置业务引擎及接口单元占用总业务槽位数不高于总业务槽位50% 3. 主控故障或切换时设备最大转发性能不受任何影响，支持双引擎快速倒换，实现50ms的引擎故障主备切换时间，支持热补丁功能，可在线进行补丁升级，支持静态链路聚合、动态链路聚合LACP，支持跨板链路聚合、跨设备链路聚合 4. 支持安全集群，配置两台物理设备虚拟化为1台逻辑设备所需要的软硬件，设备集群后能完全作为1台设备来统一配置管理；支持不同型号设备之间进行集群 5. 业务引擎能够资源池化管理、支持即插即用；支持智能分流：无需配置ECMP、链路聚合等策略来负载分担流量，无需配置哪些流量交给哪个业务引擎处理，无需手工控制某些会话的两个方向在指定业引擎处理 6. 通过一个串口/IP即可进行虚拟机安全防护系统管理，在统一管理界面上能监控并管理所有业务模块 虚拟机安全防护系统防火墙虚拟化功能开发对接要求： 1. 支持将1台设备虚拟化为多台设备使用，可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间)，支持网络虚拟化（如IP、VLAN、VRF资源）； 虚拟防火墙可以按需启动、停止，设备上可以查看到虚拟防火墙状态， 每个虚拟防火墙支持VRF数量≥1000个 2. 本次配置虚拟防火墙≥256个，整机虚拟防火墙数≥768，本次配置的所有虚拟防火墙总吞吐量≥100G（虚拟防火墙性能在30M-30G区间可调） 3. 整机最大吞吐量≥0G，GRE隧道性能≥120G；并发连接数≥2.4亿，每秒新建连接≥300万 虚拟机安全防护系统虚拟防火墙功能要求： 1. 支持IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议 2. 支持IPV6 Over IPV6 or IPV4、IPv6 over IPv4 manual、IPv6 over IPv4 6to4、IPv6 over IPv4 ISATAP、DS-LITE AFTR隧道技术，支持NAT、DNS、ALG翻译技术 3. 能够防范DOS/DDOS攻击：Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、HTTP Flood（cc）4. 5. 6. 7. 攻击、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范、DNS Flood、ACK Flood、FIN Flood、分片Flood、Tiny-Fragment 支持扩展IPS防护功能：支持 阻断/丢弃/允许/断开/重定向/捕获/日志；支持重定向报文、支持单独或组合配置特征动作；支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御；支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御 支持防病毒功能扩展：支持基于流特征的病毒检测，基于文件的病毒检测，支持特征库手动、自动升级，支持病毒日志记录、病毒统计报表，可以查杀的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等，支持病毒日志和报表 支持ICMP、TCP、FTP、HTTP、SSL、DNS、Radius、SMTP、POP3、RTSP、IMAP4、SNMP 、SIP、ARP、UDP健康检查算法 支持4层服务器负载均衡、7层服务器负载均衡扩展：支持HTTP Proxy、TCP连接复用、SSL 卸载、应用层优化、ISP选路、智能DNS解析、DNS代理 1、提供基于虚拟化系统底层的病毒、木马防护功能。实配40颗CPU，三年服务，支持H3C、VMware、KVM等多个虚拟化平台。 2、单一防病毒扫描引擎可以跨物理服务器为虚拟机提供保护，不受物理服务器的，无须在每台物理服务器上部署单独的防病毒引擎，以节约服务器资源、降低性能开销。 3、为保障关键应用的业务连续性和虚拟化平台运行的稳定性，要求在软件部署过程中，不得重启物理主机，虚拟系统无需进入维护模式。 21 病毒扫描服务器具备 HA 能力，当主扫描服务器出现故障虚拟化杀4、1 无法工作，备份扫描服务器可以继续进行病毒防护。 毒软件 5、能够提供病毒监控、防病毒、防木马、入侵防护、反网络攻击等功能。能够自动识别虚拟服务器或虚拟桌面系统，提供不同的防护功能，支持Windows、Linux系统虚拟机。 6、产品具备共享缓存模式（只对虚拟系统中出现的相同数据进行一次扫描），以大幅减少扫描时间和资源占用。具备主机入侵防护和虚拟补丁功能，响应可疑网络传输行为，阻止漏洞和零日攻击。 7、可提供深度包检测功能，对各种常用压缩格式文档中的病毒能有效的检测和清除，支持2000 种以上存档和压缩格式，并能对任意层数压缩文档进行扫描操作（至少20层以上）。可以对rar、zip、cab、arj等压缩格式的病毒做到包内清除。 8、可基于 IP 地址、传输方向、端口、传输协议、应用程序网络行为创建防火墙规则，可为每个虚拟机设定不同的规则。 9、产品具备对可疑文件删除操作进行回滚，文件可恢复到原始状态。具备文件完整性检查和启发式检测功能，可对打开文件、运行进程、静态文件等进行未知威胁检查和 HTTP、FTP协议的检测。支持扫描内存和正在运行的文件，能够扫描和清除内存和文件中的病毒和蠕虫。 10、产品具备邮件协议防御功能，支持标准邮件协议 POP3/SMTP/IMAP/NNTP。可以同时保护数据库服务器，邮件服务器、文件服务器、备份服务器、存储服务器等。 11、产品支持在招标人内网部署私有云杀毒服务器，从而加强对未知威胁的防护和处理能力。 12、★支持多平台统一管理，管理中心支持对无代理、轻代理、物理（Windows、Linux、Mac系统）、移动终端（Android、iOS 系统）等多个安全防护产品，实现多平台、多产品的统一管理。管理控制中心具备网络扫描功能，快速锁定未被保护的虚拟机。支持报告定制，包括内容、时间、图形、LOGO 等。 13、产品必须是“采购网”中的杀毒软件入围品牌、山东省采购协议供货杀毒软件入围品牌。 ★1、在招标人原有网络端点杀毒软件基础上扩容升级，提供一个管理中心/800用户授权，包含三年版本、病毒库、杀毒引擎免费升级。 2、要求支持常见的操作系统平台，客户端至少包括：Windows XP/Vista/7/8/10（32位与位），服务器版至少包括Windows Server 2003/2008/2012（32位与位）、CentOS、RHEL、Novell ，FreeBSD 等系统。 3、提供防病毒、防木马、反垃圾邮件、防火墙、反网络攻击22 等多重安全防护。 网络端点4、管理方式不得采用建立在被攻击最多的IIS基础上的WEB1 杀毒软件 管理方式，应采用基于C/S架构基于微软MMC管理。管理中心具备资产管理功能，可以对全网计算机的软、硬件资产进行统计，生成软、硬件资产报告。 5、服务器版具备防火墙、反网络攻击和病毒爆发监控功能，一旦客户机连接异常，可以迅速发出报警或隔离被感染的计算机，服务器版本在安装过程中不得重启。管理控制台可以安装在windows7、windows XP操作系统上。 6、要求客户端的网络代理通讯软件和客户端的防病毒软件分开安装，两者不能集成。 7、提供丰富的报表和查询功能，可以查询、统计软件运行的活动状态、病毒查杀日志、系统漏洞日志、外接设备使用日志、邮件防护日志、系统帐号日志等功能。 8、提供终端日志审计功能，通过生成报表的形式，提供U盘使用记录等日志。 9、为保证防病毒系统与操作系统的兼容性，不误杀系统文件，不与其他常用软件发生冲突。 10、为便于维护人员的管理，要求软件支持操作系统及第三方软件的漏洞扫描、补丁远程推送、软件分发、软硬件资产管理等功能。 11、反病毒数据库条数少要达到750万条以上。 12、要求防病毒软件必须具备针对XP系统特殊的安全防护功能，支持提供系统加固、启用系统监控及漏洞入侵防护系统，通过为XP系统提供类似于虚拟补丁的方式阻断病毒的传播。 ★1、基本要求：设备硬件平台采用先进的多核处理器全并行架构，非X86多核或ASIC架构，多核核数≥10个；配置1个CON接口，不少于1个USB口，不少于6个千兆电口（至少1对bypass接口），不少于4个SFP接口和2 个万兆SFP+ 接口（配置2个SFP+单模万兆光模块）；不少于4个通用扩展板卡插槽，最多可扩展到40个千兆接口和18个万兆SFP+接口；支持POE接口, 最大可扩展8个POE接口，支持扩展bypass接口，最大可扩展16个bypass接口，配置双冗余热插拔电源。 2、性能要求：吞吐量不少于25Gbps，IPS吞吐量不少于6Gb广域网万ps，最大并发不少于1200万，每秒新建连接不少于35万；兆下一代2 最大IPsec VPN隧道数≥20000，SSL VPN并发用户数可扩展防火墙 到至10000个。 3、功能要求：支持透明、路由/NAT工作模式和基于三层交换技术的混合工作模式；支持根据安全域、IP地址、MAC地址、域名、协议、端口和时间等对IP数据包进行控制；支持双机热备、端口聚合、IPV6、虚拟防火墙功能；支持对3000 种以上应用的识别和控制，包括200+移动应用；支持非等价链路的智能链路负载均衡，包括出站动态探测、TCP Track、入站SmartDNS，支持虚拟路由器且具备路由表，支持虚拟交换机且具备MAC表；实现单个公网IP的无限地址转换，支持NAT地址可用性探测，支持NAT公网地址池中IP有效性检测，避免因NAT地址无法使用导致业务中断；可扩ps ,防病毒吞吐量不少于5Gbps 。IPsec VPN吞吐率≥12Gb23 展入侵防御、流量控制和防病毒等功能；支持对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量等资源的主动检测, 计算全网健康指数，生成检测报告；支持IPSec VPN、SSL VPN、L2TP VPN、GRE VPN、L2TP over IPSec VPN、GRE over IPSec VPN、Hub and Spoke、Dial-up等VPN组网，要求支持IPv6 6to4 、IPv4 4to6 隧道配置，严格遵循RFC国际标准，其支持的算法必需包括3DES、AES128、AES192、AES256，SHA-256、SHA-384、SHA-512。 ★1、基本要求： 1 个CON 接口， 不少于1 个USB 口，不少于5个千兆电口，不少于4个千兆光口，接口支持GE/SFP模块（至少配置2个SFP千兆光模块）。 2、性能要求：吞吐量≥6Gbps，最大并发连接数≥220万,每秒新建会话≥8.5万；AV吞吐量≥600Mbps， IPS吞吐量≥1Gbps，IPsec VPN吞吐率≥1Gbps,最大IPsec VPN隧道数≥1000，SSL VPN并发用户数可扩展到至500个。 3、功能要求：支持透明、路由/NAT工作模式和基于三层交换技术的混合工作模式；支持根据安全域、IP地址、MAC地公有云出址、域名、协议、端口和时间等对IP数据包进行控制；支持口边界下双机热备、端口聚合、IPV6、虚拟防火墙功能；支持非等价1 一代防火链路的智能链路负载均衡，包括出站动态探测、TCP Track、墙 入站SmartDNS，支持虚拟路由器且具备路由表，支持虚拟交换机且具备MAC表；支持NAT端口扩展技术，单IP可支持N*500个并发连接；支持对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量等资源的主动检测）；支持IPSec VPN、SSL VPN、L2TP VPN、GRE VPN、L2TP over IPSec VPN、GRE over IPSec VPN、Hub and Spoke、Dial-up等VPN组网，要求支持IPv6 6to4 、IPv4 4to6 隧道配置，严格遵循RFC国际标准，其支持的算法必需包括3DES、AES128、AES192、AES256，SHA-256、SHA-384、SHA-512。 ★1、产品具备病毒防御、入侵防御、应用识别、网站分类库过滤、IPSEC VPN功能并具有良好的扩展性，可以支持扩展 APT防御功能；配置不小于6个10/100/1000Base-T电口和4千兆边界量大于等于8Gbps，最大并发连接数大于等于280万。 下一代防2 2、支持路由、交换、混合、工作模式，支持静态路由、策略火墙 路由模式，支持802.1q、QinQ模式，支持IPSEC VPN接入，支持智能DNS功能，有效提高用户跨网访问效率；支持DNS Docting，能够将来自内部网络的域名解析请求定向到真实内网资源，降低路径开销，提高访问效率； 个SFP光口（配置2个SFP千兆多模光模块），防火墙吞吐24 25 3、支持ICMP、Traceroute、TCP、HTTP、DNS等多种链路质量探测方式，用户可以根据探测结果有效判断链路质量；通过HTTP链路质量探测方式，探测结果可以提供DNS解析响应时间、TCP建立连接时间、HTTP交易时间等；通过TCP链路质量探测方式，探测结果可以提供TCP建立连接时间等；通过DNS链路质量探测方式，探测结果可以提供DNS解析响应时间等； 4、支持IPv4/IPv6双栈工作模式，支持IPv6安全控制策略设置，支持基于IPv6的应用层检测（FTP\\TFTP）、病毒过滤、IPS检测； 5、内置强大的用户身份管理系统，支持RADIUS、LDAP、证书等多种认证协议和认证方式； 6、内置强大应用识别引擎，综合运用端口识别、行为识别、特征识别、关联识别等技术手段，准确识别传统应用如P2P、web应用、移动应用、云应用、加密应用等；同时支持基于IPv4/IPv6的应用协议识别； 7、支持应用流量排名，可根据应用类型进行实时流量、实时会话数、统计流量排名，同时通过图表或表格的方式进行展示，展示的图表和表格支持自动刷新； 8、支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略，支持针对带宽策略中对每IP、每用户进行带宽控制；支持带宽策略优先级； 9、内置高度集成的一体化智能过滤引擎技术，实现在同一条访问控制策略中配置传统的五元组信息、应用、服务、时间、安全引擎的识别与控制； 10、内置攻击检测引擎，采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为；支持web攻击识别和防护；内置攻击检测引擎，支持的DDOS检测、阻断能力，支持检测包括land、Smurf、winnuke、tcp_sscan、ip_option、targa3、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等攻击；支持DNS异常包检测，支持DNS Query flood、DNS Reply Flood攻击；支持DHCP异常包检测，支持DHCP Flood攻击检测； 11、内置病毒检测引擎，支持HTTP/SMTP/POP3/FTP/IMAP等协议的病毒防御； 支持病毒白名单，用户可以根据实际业务需求将特定威胁进行排除； 12、内置文件过滤引擎，支持对HTTP/FTP/SMTP/POP3等应用协议传送PDF、Office、java-class、jpg等文档类型的文件过滤； 13、支持SYSLOG格式的日志，可外发至SYSLOG服务器。 1、 配置至少4个千兆电口4个千兆光口；配置2路万兆多模光口及光模块，配置软硬BYPASS，双电源；配置吞吐量不少于10Gbps，最大并发连接数不少于250万。 2、系统应支持常见默认事件集，默认事件集至少包括：全集、中高级事件、僵尸木马蠕虫事件集、WEB事件。系统应支持密码穷举探测功能，提供至少16种应用的密码穷举行为探测和阻断； 3、提供支持检测的具体应用。系统应提供SQL注入攻击、XSS攻击的检测和防御功能，对Web服务系统提供保护；系统应针对SQL注入、XSS攻击提供白名单功能，能够精确到检测点、属性和名称； 4、系统应支持多种防web扫描能力，包括爬虫、CGI和漏洞扫描等，并支持设置至少5个不同级别的扫描容忍度/扫描敏感度； 5、系统应提供旁路部署及在线、旁路混合部署等部署方式。系统应支持路由模式，至少包括：静态路由、策略路由、ISP万兆IPS 和OSPF路由协议； 2 6、系统应支持完善的会话管理功能，可实时查看当前会话状态，支持根据源地址、目的地址、端口号或协议类型查询会话； 7、系统应支持通过授权扩展支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能； 8、系统应支持敏感信息防护功能，识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息，并支持文件指纹识别和白名单功能； 9、系统应支持软件Bypass功能，通过CPU和内存阈值实现软件Bypass的开启，提供不同的阈值计算方式（最高值/平均值、时间区间等）； 10、系统应支持在线管理员数目和管理员唯一性检查功能，提高系统管理的安全性，系统应支持WEB登录图像验证码功能，防止暴力破解。系统应支持syslog格式修改功能，通过对日志内容裁剪、修改次序，满足用户安全管理平台日志格式要求。 1、双电源，2个的千兆管理口，1个的数据口，2网络安全个千兆电口监听，可扩充至4个千兆电口监听，硬盘支持审计系统 1 RAID5，2T存储空间，审计日志入库速度大于200000条/秒， 审计流量4Gbps。 26 27 2、 审计记录支持关键信息翻译，正确识别业务语言； 3、 审计记录支持页面形式回放，方便用户进行场景还原； 4、可提供对应用、数据库环境下的用户-应用系统-数据库访问的精确关联审计。关联算法具有一定的先进性，提供专利编号； 5、支持记录访问的源目的IP、端口、MAC以及浏览器类型、上下行流量等信息； 6、支持对XSS、SQL注入等常见攻击行为的检测，检测算法具有一定的先进性，提供专利编号； 7、支持通过syslog方式采集应用系统及数据库日志，并在分析中心统一展现； 8、支持以统计场景的形式，查看不同的日志信息，提供实时统计和历史统计两种模式； 9、具有日志关联分析能力，可以基于业务特性对日志进行相关性分析，发现潜在的威胁； 10、可完整记录对业务系统的操作类型、操作时间、客户端地址、用户名等关键信息； 11、支持审计系统扩展，可采用大数据平台存储和分析审计日志，极大的扩展存储空间和分析能力； 12、支持数对业务系统的流量监控和访问量监控；可提供被审计系统业务操作的对比分析图，支持多系统访问量横向对比、同一系统的不同周期事件量和流量纵向对比等内容。 13、审计策略可支持按照URL、请求内容类型 、访问模式、Post数据、Cookie、回应内容类型、网页内容等进行定义。 14、支持记录访问的源目的IP、端口、MAC以及浏览器类型、上下行流量等信息。 1、支持千兆网络环境下的监听能力，配置6个千兆电口、4个千兆光口（2个千兆多模光模块）；内存≥16GB；硬盘可用容量：2T*2，支持RAID1、RAID5；双电源；支持审计≥8个数据库实例。 2、整机吞吐能力≥4Gbps，日处理业务操作数≥4亿条；峰值处理能力≥4万条/秒，审计日志检索能力≥1500万条/秒。 ★3、与招标人现有数据库审计系统联动，两台设备实现分布28 数据库审式部署，本次采购数据审计系统作为管理中心，原有数据库1 计系统 审计系统作为采集器，并保证原数据库审计系统中的数据全部同步到管理中心； 4、支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计。 5、协议支持：支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等主流数据库审计；支持对SQLserver 2005以上版本加密用户名的审计。 6、支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行数、执行时长等内容。 7、支持与堡垒主机自动关联审计通过ssh、rdp等加密协议操作数据库行为。 8、数据库模型分析功能：支持对数据库自动建模及智能对异常行为告警功能；可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析，对学习的安全基线以外的行为自动智能的进行告警。 9、应用层三层关联分析：支持B/S业务系统三层关联审计，支持旁路自动学习三层审计关联功能，支持通过部署agent实现java web环境100%准确关联。 10、支持定期自动扫描数据库漏洞和不安全配置。 11、审计查询功能：支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询，系统提供内置多种报表模板库；支持报表自定义。 1、管理节点数200个，字符会话支持1000并发，图形会话支持200并发； 2、字符协议操作审计文件大小不超过500KB/小时，图形协议操作审计文件大小不超过5MB/小时； 3、软硬件一体化产品，标准1U设备，配置冗余电源；≥8个千兆电口，1个Console管理口，2个USB接口； 4、内存≥8G，硬盘≥1TB； 5、支持各版本Windows、General Unix(IBM AIX、K-UNIX HP-UNIX、Solaris、SCO UNIX等)、General Linux(Redhat、SUSE、Debian、FreeBSD等) 29 堡垒机 6、支持H3C、Cisco、Juniper等网络设备及安全设备； 7、支持WebLogic、WebSphere中间件等应用系统； 8、支持Oracle、DB2、KDB、MySQL、SQLServer等数据库，包括命令和图形模式登录； 9、支持VT100、VT102、VT220、ANSI、XTERM、windows CE等终端设备； 10、不改变运维用户习惯，不需要安装任何客户端工具、插件； 11、支持单点登录，支持各种常用运维客户端工具，如NetTerm、SecureCRT、XShell、Putty、远程桌面、Windows CMD等； 12、支持多种双因子认证方式，包括AD域、RADIUS认证、2 RSA令牌、VASCO令牌、动联令牌、SMS短信认证，支持认证方式授权和密码信封打印，并且兼容运维管理工具登录认证； 13、支持机构授权、组授权和用户授权，支持安全策略定制，包括时间策略、命令策略、IP策略； 支持工作流管理、二次授权、SCP授权、AB命令授权，支持批量脚本运维； 14、对运维操作的审计支持实时监控、阻断、事后回放、命令记录等，从用户、资源、运维操作等度进行审计，生成审计日志，并支持度自定义生成报表，报表格式支持Word、Excel、PDF等； 15、数据库审计支持图形、字符运维，可以记录SQL语句（无须借助Windows跳板机、应用发布服务器实现） 16、支持定期更改服务器账号密码，并支持定期备份密码策略； 17、支持审计数据定期上传到FTP服务器，备份审计数据； 18、支持客户特殊应用协议的发布、审计； 19、对两台堡垒实现双机部署。 1、 外壳 ABS（树脂）、高级模具 2、 通讯协议 USB，SCSI，HID 3、 接口类型 标准USB1.1设备 兼容USB2.0接口（A型插头） 4、 处理器 高性能智能卡芯片 5、 存储空间 K（用户空间32K），擦写次数室温下最少擦写次数为50万次，数据存储年限室温下数据保持时间最少10年 30 双因素认证UKYE 6、 RSA 1,024byte密钥对生成速度少于 0.5s，RSA 1,024byte密钥签名速度少于 21ms，RSA 1,024byte密钥验证速度 少于11ms 7、 证书和标准 PKCS # 11 v2.11, MS CAPI,国密SKF, X.509 v3 证书存储，SSL v3, IPSec, 兼容ISO 7816 8、 内置安全算法 RSA、DES、3DES、SHA256、SHA-1、MD5、SM1、SM2、SM3、SM4 9、 支持操作系统 Windows 98SE/Me/2000/XP/Win7/Win10/Server 2003/Vista/Server 2008/7/8、Linux、MacOS 10、具备商用密码产品型号证书 31 数据备份系统基于云计算架构，全Scale-out架构，集群横向扩展，与恢复系可支持扩展至≥26个备份节点； 备份存储容量≥1PB。 统 系统中心控制节点： 1 30 1、系统中心节点2U 12盘位，配置2路intel Xeon E5-2620V4及以上级别CPU（8Core），配置≥32GB内存，配置2块 120G SSD硬盘作为系统盘保证系统性能。配置2个1Gb GE接口作为管理端口，支持5个PCI扩展；支持包括Windows、Linux、Unix全平台文件、数据库、系统、存储以及虚拟化的保护。 2.、通过系统中心节点的云灾备管理界面，可针对所有备份节点做统一管理功能并集中在一个界面内呈现，包括各数据备份节点的CPU使用率、内存使用率、介质使用率、网络吞吐量等集中监控统计。同时可针对各数据备份节点的任务运行情况、任务详情、任务历史记录等进行监控，统一运营。支持将所有的一体化备份节点接入，以网络拓扑的形态展现，可直观看到系统健康状态。支持对管理员提供平台故障或异常进行预警和告警。允许先选择图形呈现方式后再过滤搜索数据，做到按需选择，呈现方式包括面积图、数据表格、折线图、markdown widget、数值统计、饼图、瓦片地图、垂直条形图等。支持仪表盘视图创建告警，可以方便地支持将各个可视化组件根据需要拖拽排列，并且可以支持自动刷新，支持开启设置仪表盘是否为固定时间，或者跟随即时时间，可配置基于搜索结果的告警触发条件，在一个给定的时间范围内触发告警的事件阈值数，支持对数值型字段统计告警，统计方式包括：sum （求和）、avg（平均值）、max（最大值）、min（最小值）。 3、通过系统中心节点的云灾备管理界面内，支持对所管理的数据备份节点进行托管管理，在同一个web管理界面内，可同时这对云灾备平台的管理与数据备份节点内的备份作业、策略配置等做统一管理，最大限度的降低云灾备平台的管理负担。 4、本次配置≥20个备份节点代理授权，并具备良好的可扩展性，可保障省对全省各中院实现统一灾备管理。 本次配置系统中心节点1个。 数据备份节点： 1、2U 12盘位，配置2路intel Xeon E5-2620V4及以上级别CPU（8 Core），配置≥128GB内存，配置2个1Gb GE接口+4个8Gb FC接口，支持5个PCI扩展，配置12块4TB SATA硬盘，配置2块120G企业级SSD硬盘作为系统盘保证备份系统及系统安全性； 2.、备份节点系统软件为存储专用基于Linux的位系统，确保系统更稳定更安全。系统软件与备份容灾软件整合成为一体； 3、备份系统要求广泛的操作系统兼容性，支持主流Windows、Linux、Unix操作系统及浪潮K1、中标麒麟、普华等国产操作系统，满足IT系统复杂性和兼容性需求； 4、备份系统要求广泛的应用兼容性，支持对SQL Server、Oracle、Sybase、Exchange Server、Domino、DB2、MySQL、AD、达梦数据库、南大通用、神舟通用、金仓等国内外主流应用进行在线备份保护，以及对Oracle RAC、Exchange Server DAG等主流集群应用进行在线备份保护； 5、配置数据库在线进行单表级的细粒度恢复功能，要求操作简便，图形化操作界面，无需编写脚本，无需暂停数据库，不影响业务正常运行； 6、配置邮件系统的单邮件级细粒度恢复，且支持在线恢复，不影响恢复过程中对Exchange Server其它正常数据的在线使用； 7、支持对SQL Server、Oracle、Sybase、Lotus Domino、DB2、MySQL等主流应用进行在线实时保护及应用容灾保护，支持无限历史时间点留存。当生产服务器出现故障时，可通过容灾服务器在线接管生产服务器业务，确保应用连续性； 8、 为应对电子卷宗海量小文件的灾备保护需求，要求备份系统必须配置Lan-free功能模块，以提高备份速度，减轻网络压力； 9、虚拟化平台兼容性广泛，配置对VMware、Hyper-V、KVM、浪潮云海OS、FusionSphere、CAS、云宏等国内外主流虚拟化平台的应用保护； 10、配置虚拟化平台虚拟机粒度及单文件细粒度恢复，支持直接将备份的虚拟机通过挂载的方式即时可用，支持单虚拟机粒度挂载，并支持虚拟机挂载后是否自动开机和联网； 11、★配置新华三CAS、华为FusionSphere等国内主流虚拟化平台的基于API接口的无代理备份功能，无需在虚拟机中安装客户端，以减少对主机性能的影响，节省主机资源；对客户目前业务环境已有虚拟化平台完全兼容，能够实现基于底层API接口的无代理备份，不得在物理服务器安装任何代理等客户端程序，不能影响正常业务运行；恢复时能够自动匹配租户信息、虚拟机规格、虚拟机网络配置信息。支持对电子卷宗海量小文件的备份，进行基于卷级的快速定时备份保护（非CDP方式、非快照方式），无需逐个扫描每个文件，并支持源端重复数据删除特性可达到对此场景的高性能保护；支持对同一个海量小文件备份恢复任务，支持包括卷级别恢复和单文件级细粒度的多种恢复方式恢复。 12、配置备份数据远程复制到异地，支持异地备份数据的安全管理机制，异地备份存储系统需要得到本地授权许可后，才可以浏览、恢复本地传输过去的备份数据，最大限度避免备份数据的泄密可能； 13、配置以AES256位加密算法对备份数据进行加密功能，确保备份数据无泄密风险。支持将备份数据复制到第三方云平台的OSS云存储中，实现云备份异地数据灾备； 14、配置软硬件故障通过邮件等方式告警功能。支持通过原厂商或第三方服务供应商提供的统一远程监管平台，对备份存储系统的软件故障和硬件故障及日常运行信息及时传回原厂商或第三方服务供应商，得到第一时间的技术支持； 15、为保障数据长期存储需求，需支持主流磁带库、虚拟带库、蓝光光盘库等设备，支持将备份数据进行离线归档保存； 16、本次配置至少支持50个Sybase数据库备份模块，进行Sybase数据库保护；本次配置至少支持100个虚拟机备份模块，进行虚拟机保护；本次配置至少支持100个文件系统备份模块，进行Windows/Linux文件保护；本次配置至少50个PC/MAC终端实时备份模块，进行PC/MAC终端数据文件的实时备份。本次配置至少40TB的备份容量许可； 17、重复数据删除代理：支持基于源端的重复数据删除技术，降低传输数据量，减轻带宽压力。支持全局性重复数据删除特性，在所有备份数据中仅保存唯一一份相同数据，最大限度的减少备份存储空间的使用。本次为所有数据备份节点均配置重复数据删除代理，要求不重删的客户端数量、备份容量，不备份带宽等。支持配置 4、8、16、32、、128、256、512（KB） 数据块大小参数，客户可根据不同的业务类型灵活选择数据分块大小，以提升重复数据删除效率，降低磁盘占用空间，并提升数据远程灾备对网络带宽的占用，避免影响其他核心业务应用； 18、远程复制代理：用户备份服务器之间的备份数据进行异步复制同步，达到异地数据级灾备的效果。本次为所有数据备份节点配置远程复制代理授权，要求不远程复制客户端数量、备份容量，不远程复制带宽。支持1对1及1对多的多种方式远程复制，最大限度的满足多分支机构的异地数据容灾需要；确保备份数据后期可远程复制到异地灾备中心，实现数据异地安全备份的需求。 19、LAN-free备份代理：配置LAN-free备份代理授权，要求不Lan-free客户端数量、备份容量及LAN-free带宽。 本次配置数据备份节点3个。 系统采用先进的应用集成技术进行系统建设，主要包括J2EE技术、JAVA技术、XML技术、中间件技术等；开发架构主体采用基于Internet/Intranet的B/S模式的多层结构，客户端零维护。B/S架构开发的应用系统要求采用SOA技术体系结构和先进的MVC开发模式，以提高系统的可移植性和可扩展性；系统操作简单直观，使用维护方便，能够适应需求调整和应用范围的扩大，具有开放性、扩展性和易于二次开发的特性。 系统应具有以下功能： 1、数据入库：具备数据打包、数据加密与解密、生成数字摘要，支持FTP等方式进行文件上传； 2、数据监测：支持自定义监控周期、支持全盘或自定义检测范围； 3、系统预警：即时的报警功能，异常情况自动触发短信预警；数据保全4、数据保全：能对异常数据进行自动保全，随时保证有两份1 系统 与原始数据一致的有效数据； 5、数据恢复：对出现异常的数据能自动修复； 6、数据检索:提供便捷检索功能，快速搜索已入库的数据； 7、数据利用:数据提取时，会对数据自动进行校验，保证数据回载时的一致性； 8、统计分析:可按分类对入库数据进行统计分析及报表打印； 9、日志管理：提供数据入库日志、数据利用日志、登陆日志、操作日志等管理功能； 10、系统维护:提供单位管理、部门管理、角色管理、人员管理、权限管理、参数配置等便于系统日常维护； 11、网络稳定的环境下用户登录响应时间≤3秒，操作性界面单一操作的系统响应时间≤5秒，运行信息的统计、信息核查的响应时间≤10秒，短消息发送设备信息到达时间≤30秒，电子文件检测用时： 1T用时≤0.5小时 配置要求：10/100/1000M电口≥24个，千兆万兆自适应光口≥2个, 千兆万兆自适应电口≥2个；万兆多模光模块≥2个 功能要求： 1、 整机交换容量≥256Gbps，转发性能≥96Mpps 三层千兆2、支持基于协议的VLAN、灵活QinQ，支持VLAN Mapping、网络交换Super VLAN等 6 机 3、★支持IPv4/v6静态路由、RIPng、OSPFv1/v2，OSPFv3 功能；支持STP/RSTP/MSTP/PVST协议 4、支持基于端口，VLAN，全局下发 ACL，支持双向ACL，支持CAR功能，支持双向端口限速，支持双向流限速 5、支持CPU防护，支持单端口同时开启802.1x认证，MAC认证，和Web认证，在客户端多样的网络环境中，通过单端32 33 口多认证的方式，满足客户端可以通过适合的认证方式接入网络，实现业务的灵活部署 6、支持不小于9台设备虚拟为单台逻辑设备，支持跨设备链路聚合，支持通过标准以太网接口进行堆叠，支持本地堆叠和远程堆叠，堆叠距离≥10KM 7、支持OPENFLOW 1.3标准，支持普通模式和Openflow 模式切换，支持多控制器，支持多表流水线 8、支持sFlow功能，缓存不小于1.5M；支持802.1ag，支持802.3ah，符合IEEE 802.3az节能标准，支持SNMP V1/V2/V3、RMON、SSHV2，支持虚电缆检测功能 1、支持4K MPLS并可线速查找，同时支持VPWS、VPLS等隧道协议； 2、生成树支持802.1d、802.1s、802.1w三种规范； 3、支持数据包深度处理用户可根据：物理端口、源目的 MAC，二层协议类型、源、目的 IP 地址、源、目的端口号、协议类型、TCPFLAG 等报文特征对流量进行分类；并对分类匹配的流量进行复制、转发或丢弃处理； 4、支持数据包净荷的匹配，用户可定义净荷的前 16 字节任意位置的分类过滤，实现流量的精细化管理； 5、支持命中规则流 hash 转发，支持同源同宿，保证会话完整性和均衡性； 6、支持配置的动态更新和命令的即时生效，支持优先级匹配； 7、支持按位精确掩码； 8、支持 VLAN 标记、识别和剥离等； 34 镜像交换基于源IP 地址分流、目的IP 地址分流、源IP+目的IP 地机 址分流； 10、 11、 12、 13、 14、 15、 16、 17、 支持同源同宿，保证会话完整性和均衡性； 支持1:N的数据分流和N:1的流量汇聚； 支持流量重定向到指定端口（组）、丢弃或者流量负Hash 流量均衡支持自动和手动方式； 逻辑端口内自动流量均衡（可设置五元组任意元素支持流量等带宽的控制管理； 支持输入或输出端口数据镜像； 集成RS232 配置接口，支持Telnet 远程登录以及 1 载均衡输出方式； 的组合的均衡模式）； SSH 加密登录，支持SNMP 简单网管协议，支持FTP 升级， 支持命令帮助提示，支持日志管理； 18、有数据包统计功能，支持输入、输出的包速率和带宽的查看；具有实时统计输入、输出带宽统计功能；支持对规则命中的统计； 19、交流供电、电源风扇冗余； 20、平均时延<20us；可以扩展4个10GE或4个10GPOS端口，支持与任意第三方产品对接。 1、性能规格：吞吐量≥2Gbps，用户规模≥2000，具备4个千兆电口，2个千兆光口，支持BYPASS 2、集中管理展示：多台设备支持通过统一平台集中管理、集中配置，并能够结合大屏幕统一展示各节点详细上网情况；3、Web访问质量检测：针对用户的web访问质量进行检测，对整体网络提供清晰的整体网络质量评级；支持以列表形式展示访问质量差的用户名单；支持对单用户进行定向web访问质量检测 4、共享接入管理（防共享）：设备能够发现私接路由（或者共享软件等）共享网络的行为；支持自定义配置终端数量和冻结时间和添加信任列表；支持例外排除功能，当PC或终端数超过例外条件才会被判定为共享。 5、应用识别规则库：支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖等；支持给每个应用自定义标签； 支持给每一种应用列上图标，易于客户了解35 上网行为应用的特征。 管理 6、应用控制：设备内置应用识别规则库，应用规则数超过4700条，支持超过2100种以上的应用，660种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率； 加密SMTP邮件过滤：支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端的邮件进行关键字过滤； 7、加密SMTP、POP3邮件审计 支持对加密HTTPS、POP3-SSL 、POP3、IMAP 、IMAP-TLS 、IMAP-SSL、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计。 8、动态流控：支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；空闲值可自定义 9、P2P智能流控：支持通过抑制P2P的上行流量，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题； 10、流控黑名单：基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中 1 11、自定义报表：支持从流量分析、时长分析、用户行为分析、网站分类分析、终端接入分析、终端接入安全等度下选择具体的基于用户/用户组/终端/网站/域名/应用/通道/搜索关键字等细粒度的排行、趋势等报表，整合成一个自定义报表进行订阅； 12、大数据挖掘分析：支持通过对用户上网数据进行深入挖掘分析，生成基于网贷、沉迷网络、人员失联、热点事件、人员心理、消费水平、工作效率、离群点等趋势分析报表。 1、不少于4个千兆电口，接口支持bypass，不少于1个扩展插槽，DLP检测吞吐率 >1000Mbps； 2、系统支持HTTP协议的识别，支持HTTPS协议的识别，支持对邮件协议SMTP的识别，可识别发件人、收件人、信封、主题、正文、附件等信息；支持对FTP协议传输的文件进行识别； 3、系统支持精确识别Webmail应用的关键信息，如发件人、收件人、抄送人、主题、正文、附件等。可支持163邮箱、139邮箱、126邮箱、qq邮箱、新浪邮箱、搜狐邮箱等应用；支持精确识别网盘上传的文件，可支持百度网盘、华为网盘、360云盘、乐视TV盘、联通悦云、天翼云、新浪微盘、163网盘、139网盘等应用；支持精确识别社交网络的关键信息，主题、正文、附件等；支持朋友网、腾讯微博、人和网、网易微博、新浪微博、QQ空间、开心网、百度贴吧、天涯论36 数据防泄坛、搜狐论坛、新浪论坛、网易论坛、猫扑、等应用； 漏系统 4、系统支持识别的文件类型数量不少于1000种，支持识别的文件内容识格式不少于300种，支持识别的加密文件格式不少于12种，支持的压缩文件格式不少于25种，如RAR、ZIP、GZ、TAR等；支持图片识别； 支持文档相似度识别和文档重叠度识别； 系统支持识别Linux，Unix等非Winodws的文件类型；系统支持识别未知文件类型；系统支持识别自定义文件类型； 5、系统支持关键字方式识别敏感内容；支持*通配符、忽略大小写、中、英文、多模关键字、某一范围内相邻关键字组合的匹配方式；支持PCRE语法的正则表达式方式识别敏感内容；支持数据标识符方式识别敏感内容；支持数据库指纹方式精确识别敏感内容，即通过对数据库表关键列内容创建指纹后，当外发数据中含有该数据库表中某行中的几列数据则可判断外发敏感结构化数据， 指纹提取支持本地和远程两种方式提取； 1 支持文档内容指纹方式精确识别敏感内容，即通过对待保护文档内容生成指纹后，与外发文档的指纹匹配相似度，如果相似度超过一定阈值则可判断外发敏感文档内容，指纹提取支持本地和远程两种方式提取； ★6、系统支持基于图片内容指纹方式精确识别敏感内容，通过对待保护图片内容生成指纹后，与外发图片内容的指纹匹配相似度，如果相似度超过一定阈值则可判断外发敏感文档内容；支持图片OCR方式识别图片文字,支持识别简体中文、繁体中文、英文、日、韩等种语言；支持识别GB2312、GBK、GB18030、Big5、UTF8、ISO8859-1、Unicode等多种字符集； 7、系统支持识别文档多层嵌套方式逃避检测行为，支持识别文件多层压缩方式逃避检测行为，支持识别文件加密方式逃避检测行为，支持识别邮件密送行为，支持识别文档的页眉页脚隐藏敏感信息的行为，支持识别敏感信息标识为隐藏段落方式的泄露行为，支持识别修改文件扩展名方式逃避检测的行为，支持识别图片格式嵌入敏感文档方式，支持识别截屏、拍照成图片的方式泄漏敏感信息行为，支持识别拷贝文档部分内容方式泄漏敏感信息行为，支持识别少量多次泄漏敏感信息行为； 8、系统支持阻断HTTP/HTTPS协议响应动作，支持移除HTTP/HTTPS内容的响应动作，支持阻断SMTP消息响应动作，支持修改SMTP消息的响应动作，支持阻断FTP协议请求响应动作，支持邮件告警响应动作，支持与Syslog联动响应动作，支持根据事件上下文作为前置条件执行响应动作； 9、支持基于内容制定策略，可结合发送者/接收者，文件特征，通讯协议等来制定策略；支持针对特定数据内容，如：关键字、文件类型、文件大小、协议等条件进行例外处理；支持规则的重用，方便策略的配置；可在模板策略的基础上，派生自定义策略； 10、系统可提供丰富的报表功能，具备事件快照功能，事件报表支持以PDF、CSV、HTML格式导出；系统可提供用户认证、用户权限配置、策略管理、事件审计等操作日志，可对管理员操作进行审计； 10、系统支持灵活的部署方式，支持直路透明串接部署、直路路由串接部署和旁路部署。 37 互联网防1、 主机操作系统采用多核多线程ASIC并行操作系统，标配1 病毒网关 双冗余电源；配置不少于6个10/100/1000M Base-TX接口；38

防病毒吞吐量不少于10Gbps，并发连接数不少于320万；内置1TB 硬盘。 2、支持多系统（≥3个）引导，并可配置启动顺序，支持系统分区备份，支持将系统A克隆至系统B； 3、支持IPv4和IPv6双栈协议下的病毒扫描与防护。 4、支持基于策略的病毒扫描与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的病毒防护策略。 5、支持多接口可旁路的病毒文件传输监听检测方式，可并行监听并检测多个接口、多个网段内的病毒传输行为，用于高可靠性要求的旁路应用环境。 6、支持隔离病毒源地址，防止病毒源主机访问内部网络，提高网络整体安全性。 ★7、采用自主专利的国产病毒防护引擎，病毒库特征库＞600万种；杀毒强度可控，支持快速扫描、全面扫描模式。 针对本项目提供满足等保三级的集成及整改服务、风险评估集成及安服务及提供30人次的重要信息系统安全保护人员培训1 全服务 （CIIPT）安全技术培训。 三、系统集成与售后服务要求

1、本项目为“交钥匙”工程，投标人报价除包含设备清单所列产品外，还应包含系统集成所需要的工具以及辅材、光纤线缆、相关系统软件、操作系统软件、安装调试、技术支持和售后服务等所有相关费用，如在项目实施过程中发现因设备遗漏而无法满足招标人在招标文件中提出的技术需求和要求，投标人应自行承担所遗漏设备费用。

2、供货期：合同签订后30个工作日内，安装调试周期：货到25个工作日。 3、投标人应给出详细的施工方案：落实每个阶段实施工作的详细计划及人员安排，进度计划，提供项目软、硬设备的安装、联调测试方案。应以网络安全集成为目标，按照信息安全等保三级标准及招标人要求对本次采购的安全软硬件设备进行规划、集成、安装、部署，提供全部相关安全集成服务工作。

4、设备原厂免费保修三年，原厂工程师 7x24小时带配件免费上门服务。中标人应提供三年免费保修期内3人现场驻场服务。免费保修期内，由中标人负责日常设备维护管理，对用户的设备免费进行现场维修更换，更换的设备或部件要求使用设备原厂商的全新同型设备或备件，无法维修的设备需免费更换为同档次或更高档次的其他型号产品。质保期内如发生系统升级等情况，投标人应免费负责现场升级和向采购人提供必要的技术资料。

5、投标人应对本项目的设备及系统运行情况进行巡检，要求每年不少于 4 次现场巡检，现场巡检需经用户签字盖章认可。每次巡检结束后，需向用户提供巡检报告，报告内容包括：系统性能、运行状况、稳定程度等，并对系统的优化和今后运行维护给出建议。

6、保密要求。中标人应提供保密承诺，自签订合同之日起至项目验收，采取必要的控制措施防止因项目实施造成的任何信息泄漏。中标人应提供风险规避声明，自签订合同之日起至服务期结束，采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。对于招标人披露和提供的所有信息应作为商业秘密对待并予以保护，未经招标人授权不得将任何信息泄漏给第三方，否则招标人有权追究中标人由此产生的一切责任。

7、培训要求：提供云计算等方面的技术培训服务，不少于 20 人次；提供信息安全相关设备及系统现场使用操作培训和安全技术培训。投标人需提供培训计划、师资人员安排、教材及教学内容情况、培训效果评估等文档。

8、系统交付运行 1 个月后实施验收。

注：以上加★条款内容，如不满足，按无效投标处理。

评标方法和评分细则

一、评标方法

本次评标采用综合评分法，将依据投标人投标文件对其资信、业绩、投标产品质量、服务、技术方案、价格等各项因素进行评价，综合评选出最佳投标方案。每一投标人的最终得分为所有评委评分的算术平均值。最高得分的投标人为中标人。得分相同的，报价较低的一方为中标人。得分且投标报价相同的，技术指标较优的一方为中标人。

评 分 因 素 商务部分 技术部分 服务部分 分值分配 10 50 10 价格部分 合计 30 100 二、评分细则 评分因素 评分内容 1、投标人具有涉及国家秘密的计算机信息系统集成资质证书甲级得1分。 2 2、投标人具有有效的ITSS信息技术服务运行维护标准符商务部分 合性，一级证书得1分。 投标人自开标日起近 36 个月签订的同类项目案例，每提 8 供 1 个 1000 万元及以上合同，得 1 分，最多得 8分。 技术部分 投标产品技术指标、功能及配置对招标要求的响应程度，由评委酌情打分，好：得16-20分；较好：得6-15分；一般：得1-5分。 对投标产品的技术先进性、安全性、稳定性、易用、易 维护等性能进行综合评估，由评委酌情打分，好：得8-10分；较好：得4-7分；一般：得1-3分。 投标人对技术方案进行现场演示，由评委酌情打分，好：10 得8-10分；较好：得4-7分；一般：得1-3分 对投标人提供的技术方案和项目实施方案进行评价，包 括技术方案中的项目需求分析、技术实施重点及难点分析；实施方案中的技术力量、实施进度、质量保障机制、验收及测试方案等。由评委酌情打分，好：得8-10分；较好：得4-7分；一般：得1-3分 服务部分 详细供货计划，合理规划供货时间, 合理安排人员，酌情计1-4分。 出现问题响应时间以及解决问题的完善情况（电话沟通、到达现场、解决问题的时间），酌情计1-3分。 供应商提供的技术培训方案的可行性、合理性、实用性等10 10 10 20 满分 方面进行评价，酌情计1-3分；未提供技术培训承诺的不得分。 价格部分 以满足招标文件要求且投标价格最低的投标报价为评标 基准价，其价格分为满分 30 分，其他投标人的价格分按 30 照下列公式计算：投标报价得分=（评标基准价/投标报 价）×30%×100 合计 100